¿Qué son las amenazas internas?
Las amenazas internas provienen de usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y abusan de él, ya sea de forma deliberada o accidental.
Primer plano de un hombre pensativo con la pantalla del ordenador que se refleja en sus gafas
¿Por qué las amenazas internas son especialmente peligrosas?

Los ciberataques por mal uso del acceso pueden perjudicar a una empresa, a sus empleados y a sus clientes. Según el informe “IBM® X-Force Threat Intelligence Index de 2020”, las amenazas internas inadvertidas son la principal razón del aumento de más del 200 % en la cantidad de registros vulnerados en 2019 con respecto a 2018. Los usuarios internos suelen saber dónde se encuentran los datos confidenciales de una organización y, a menudo, tienen niveles elevados de acceso, independientemente de que tengan o no intenciones maliciosas.

Los ataques de los usuarios internos también tienen un coste para las organizaciones. En el estudio del Ponemon Institute sobre el coste de las amenazas internas de 2020, los investigadores descubrieron que el coste medio anual de la vulneración interna de datos fue de 11,45 millones de dólares y que el 63 % de los incidentes se debió a la negligencia.

Ya sea de forma accidental o deliberada, los usuarios internos pueden exponer, o ayudar a exponer, la información confidencial de clientes, la propiedad intelectual y el dinero.

Tipos de amenazas internas

Los empleados actuales, los exempleados, los contratistas, los socios o los asociados comerciales, todos ellos son usuarios internos que podrían representar una amenaza. Sin embargo, cualquier persona con el nivel adecuado de acceso a los sistemas informáticos y de datos de la empresa también pueden provocar un daño a la organización, incluidos los proveedores.

Los usuarios internos pueden tener diferentes motivaciones, conocimiento, nivel de acceso e intención. El Ponemon Institute identifica a los usuarios internos como negligentes, delincuentes o con credenciales. Y Gartner agrupa las amenazas internas en cuatro categorías: títeres, tontos, colaboradores y lobos solitarios. Nota: el Ponemon Institute y Gartner generan y proporcionan informes independientes de investigación, asesoramiento y didácticos a organizaciones empresariales y gubernamentales.

El títere

Los títeres son empleados que, sin saberlo, son manipulados para que realicen actividades maliciosas. Ya sea mediante la descarga de malware o revelando credenciales a los estafadores a través del spear phishing o la ingeniería social, los títeres perjudican a una organización.

El bobo

Los bobos son usuarios ignorantes o arrogantes que creen estar exentos de las políticas de seguridad. Por comodidad o incompetencia, intentan saltarse los controles de seguridad de forma activa y, en contra de las políticas de seguridad, dejan los datos desprotegidos y los recursos vulnerables, lo que facilita el acceso a los atacantes. "El 90 % de los incidentes internos es provocado por los bobos," según el informe de Gartner ""Go-to-Market for Advanced Insider Threat Detection"."

El colaborador

Los colaboradores cooperan con los intrusos, como los competidores o los estados nacionales, para cometer un delito. Utilizan su acceso para robar propiedad intelectual e información de los clientes o para provocar interrupciones en las operaciones comerciales, a menudo con fines financieros o personales.

El lobo solitario

Los lobos solitarios actúan de forma independiente y maliciosa sin influencia o manipulación externa para obtener un beneficio económico, por regla general. Los lobos solitarios son especialmente peligrosos cuando tienen niveles elevados de privilegio, como los administradores de sistemas o de bases de datos.

Cómo los estafadores utilizan a los usuarios internos vulnerables

Cuando el objetivo de un estafador se encuentra dentro de un sistema protegido, se centra en conseguir los privilegios de acceso de un empleado. Los estafadores se aprovechan de los títeres y de los tontos para cometer sus ciberdelitos. Utilizan muchas tácticas y técnicas para conseguir credenciales: correos electrónicos de phishing, ataques de abrevadero y malware tergiversador, por nombrar algunos. Con esas credenciales, los estafadores pueden moverse dentro de un sistema de forma lateral, ampliar sus privilegios, hacer cambios y acceder a datos confidenciales o dinero. Los estafadores pueden acceder a datos o información desde ubicaciones no seguras durante comunicaciones salientes mediante un servidor de comando y control (C2). Pueden realizar cambios de intentos de salida o realizar transferencias de volumen de salida.

Cómo atacan los estafadores:

Buscan la vulnerabilidad

  • Implementan el phishing por correo electrónico o malware
  • Identifican a un usuario ficticio
  • Consiguen credenciales comprometidas

Sacan ventaja del acceso

  • Se desplazan hacia el objetivo deseado de forma lateral
  • Amplían el privilegio según sea necesario
  • Acceden a los activos

Abusan de los accesos

  • Ocultan la actividad en la red
  • Alteran datos
  • Extraen datos
Cómo mitigar las amenazas internas

Existen diferentes controles técnicos y no técnicos que las organizaciones pueden adoptar para mejorar la detección y prevención de cada tipo de amenaza interna.

Cada tipo de amenaza interna presenta diferentes síntomas que los equipos de seguridad deben diagnosticar. Pero, al comprender las motivaciones de los atacantes, los equipos de seguridad pueden abordar la defensa contra las amenazas internas de forma proactiva. Para mitigar las amenazas internas, las organizaciones exitosas utilizan enfoques integrales. Pueden utilizar un software de seguridad que:

  • esquematice los datos accesibles;
  • establezca mecanismos de confianza, como la concesión de acceso, la revocación del acceso y la implementación de la autenticación multifactor (MFA);
  • defina políticas en torno a los dispositivos y el almacenamiento de datos;
  • supervise las amenazas potenciales y los comportamientos de riesgo;
  • actúe cuando sea necesario.

En un informe de SANS de 2019 sobre amenazas avanzadas, los profesionales de la seguridad identificaron lagunas significativas en la defensa de las amenazas internas. El informe encontró que las lagunas son provocadas por la falta de visibilidad en dos áreas: una referencia del comportamiento normal del usuario y la gestión de las cuentas de usuarios con privilegios . Dichas lagunas son objetivos atractivos para las tácticas de phishing y el compromiso de las credenciales.

Conozca a sus usuarios
  1. ¿Quién tiene acceso a los datos confidenciales?
  2. ¿Quién debe tener acceso?
  3. ¿Qué hacen los usuarios finales con los datos?
  4. ¿Qué hacen los administradores con los datos?
Conozca sus datos
  1. ¿Qué datos son confidenciales?
  2. ¿Se está exponiendo información confidencial?
  3. ¿Qué riesgos se asocian con los datos confidenciales?
  4. ¿Los administradores pueden controlar el acceso de los usuarios con privilegios a los datos confidenciales?
Detección y corrección

Después de establecer un modelo de amenazas, las organizaciones se centran en detectar y corregir las amenazas internas y las vulneraciones de la seguridad.

Los equipos de seguridad deben distinguir entre la actividad habitual de un usuario y la actividad potencialmente maliciosa para poder detectar las amenazas internas. Para diferenciar las actividades, las organizaciones deben primero cerrar las brechas de visibilidad. A continuación, deben incorporar los datos de seguridad en una solución de supervisión centralizada, tanto si es parte de una plataforma de información de seguridad y gestión de eventos (SIEM) o una solución independiente de análisis del comportamiento de usuarios y entidades (UEBA). Numerosos equipos comienzan con los registros de cambio de acceso, autenticación y cuentas. Luego, amplían el alcance a fuentes de datos adicionales, como una red privada virtual (VPN) y registros de endpoints, a medida que se desarrollan los casos de amenazas.

Las organizaciones deben adoptar una solución de gestión de acceso privilegiado (PAM) y facilitar los datos sobre el acceso a las cuentas con privilegios desde esa solución a su SIEM. Una vez que las organizaciones centralizan la información, pueden modelar el comportamiento de los usuarios y asignar puntuaciones de riesgo. Las puntuaciones de riesgo están vinculadas a eventos de riesgo específicos, como los cambios geográficos del usuario o la descarga en soportes de almacenamiento extraíbles. La asignación de puntuaciones de riesgo también brinda a los equipos del centro de operaciones de seguridad (SOC) la capacidad de supervisar el riesgo en toda la empresa, ya sea creando listas de observación o destacando los usuarios de riesgo de su organización.

Si se dispone de suficientes datos históricos, los modelos de seguridad pueden crear una referencia de comportamiento normal para cada usuario. Esta referencia indica el estado normal de funcionamiento de un usuario o máquina para que el sistema pueda señalar las desviaciones. Las desviaciones de usuarios individuales deben rastrearse y compararse con otros usuarios de la misma ubicación que desempeñan el mismo puesto de trabajo o función laboral.

Con la adopción de una visión centrada en el usuario, los equipos de seguridad pueden detectar la actividad de las amenazas internas con rapidez y gestionar el riesgo de los usuarios desde una ubicación centralizada. Por ejemplo, el análisis del comportamiento de los usuarios puede detectar intentos anormales de inicio de sesión a una hora del día o desde una ubicación poco usual, o múltiples intentos fallidos de introducción de la contraseña y generar una alerta según corresponda para la validación de un analista. En otras palabras, cualquier anomalía en el comportamiento ayudará a identificar cuándo un usuario se ha convertido en un usuario interno malicioso o si un atacante externo ha comprometido sus credenciales.

Una vez que se ha validado, un sistema de orquestación, automatización y respuesta de seguridad (SOAR) puede crear un flujo de trabajo de corrección de amenazas internas. A continuación, la guía de estrategias puede especificar qué corrección es necesaria. Las posibles correcciones podrían incluir oponerse al usuario interno con MFA o la revocación del acceso, lo que puede hacerse de forma automática en la solución de gestión de acceso a la identidad (IAM).

Cómo protegerse contra las amenazas internas de la fuerza laboral remota

Las amenazas de seguridad han aumentado y se han vuelto más complejas a medida que se expanden las prácticas del teletrabajo y el trabajo a distancia. En esencia, esto ha supuesto un cambio de las prioridades de seguridad y de las medidas de seguridad. Este cambio en la seguridad introdujo nuevos desafíos para los equipos de seguridad:

  • Aumento de los incidentes generales de seguridad debido a los cambios de comportamiento y al aumento de la superficie de ataque
  • Aumento de los ataques de phishing
  • Falta de visibilidad de los endpoints y servidores no conectados a la VPN
  • Cambios en los comportamientos de los empleados debido a los horarios laborales irregulares, las diferentes ubicaciones y los cambios de comportamiento en la navegación web
  • Aumento del uso de aplicaciones SaaS y falta de visibilidad

Los responsables de la seguridad de la información (CISO) deben hacer frente al rápido cambio de la seguridad de TI a medida que se desplaza fuera de la red corporativa. El equipo de CISO debe comprender mejor los diferentes comportamientos de los empleados que trabajan a distancia y las implicaciones del teletrabajo para la detección de amenazas internas, a fin de proteger los activos de una empresa de forma eficaz. Para enfrentar los desafíos de los empleados que trabajan de forma remota, los CISO deben ser capaces de responder a las siguientes preguntas:

  • ¿Cómo podemos verificar que la persona que se conecta a la red privada virtual (VPN) corporativa es el empleado y no un atacante que utiliza credenciales robadas?
  • ¿Cómo podemos verificar que el comportamiento anómalo de un empleado no es el resultado de trabajar en remoto?
  • ¿Cómo podemos ayudar a proteger a los empleados que se conectan a Internet en lugares abiertos y no seguros, como las cafeterías?

Al entender los comportamientos de los teletrabajadores, los equipos de seguridad pueden detectar comportamientos anómalos que podrían indicar un compromiso de las credenciales o una intención maliciosa. A menudo pueden detectar estos comportamientos en el límite de la VPN antes de que los empleados causen un posible daño. En el perímetro, los CISO deben determinar si las capacidades actuales contra las amenazas internas les permiten:

  • Obtener la visibilidad adecuada de los registros de acceso, la autenticación y la VPN.
  • Determinar si las credenciales de los empleados se utilizan en dos lugares al mismo tiempo o desde una ubicación geográfica inusual.
  • Identificar si el empleado utiliza las credenciales fuera del horario normal de trabajo de la ciudad que es la ubicación principal del empleado o si la duración de la conexión es más larga de lo habitual.
  • Finalizar la conexión, bloquear el dispositivo y revocar las credenciales a través de IAM.
Indicadores de una amenaza interna

Supongamos que un atacante logra evadir la detección en el perímetro y se encuentra dentro de la red de la organización. En ese caso, los equipos de seguridad deben validar la amenaza buscando indicadores de varias credenciales comprometidas o de abuso.

Mediante diferentes métodos, y a menudo asistidos por machine learning, los equipos de seguridad pueden obtener indicadores de amenazas internas. Estos métodos pueden ayudar a determinar si el acceso proviene de un empleado legítimo o de un ladrón de credenciales. Dentro de la red de la organización, los CISO deben evaluar si las capacidades actuales contra las amenazas internas les permiten:

  • Modelar distintos patrones de actividad estándar y la frecuencia para detectar la desviación de referencia. Una desviación puede indicar un abuso, ya sea intencionado o accidental.
  • Supervisar los intentos de extracción de datos por la cantidad de intentos de comunicación saliente o conexiones en un día determinado. Si la cantidad de comunicaciones salientes de un empleado se dispara, podría sugerir la necesidad de supervisar de cerca las credenciales de ese usuario.
  • Identificar las transferencias de volúmenes de datos grandes y anormales de un determinado empleado. La supervisión de la transferencia de datos agregados puede ofrecer una indicación de riesgo temprana, sencilla, pero poderosa.
  • Inspeccionar la integridad de los endpoints en busca de aplicaciones sospechosas, lo que podría indicar actividad de malware. Al identificar nuevos procesos o ejecuciones de aplicaciones, puede contener el malware y reducir el riesgo de seguridad de la organización.

Si ajustan sus programas de forma proactiva para compensar el cambio en el comportamiento del empleado y maximizar las inversiones en herramientas existentes, los equipos de seguridad pueden proteger mejor una red empresarial.

Soluciones relacionadas
Combata el aumento de las amenazas internas para proteger sus datos

El robo de información, el sabotaje informático y el fraude se producen cada vez más a manos de usuarios internos con experiencia y conocimientos. Con un fácil acceso a su información más valiosa, pueden aprovechar las brechas de seguridad y provocar un daño irreparable a su organización.

Explore los servicios de protección contra amenazas internas de IBM
Obtenga visibilidad de las amenazas internas

IBM® QRadar User Behavior Analytics (UBA) analiza la actividad del usuario para detectar a los usuarios internos maliciosos y determinar si las credenciales de un usuario se han visto comprometidas. Los analistas de seguridad pueden identificar con facilidad a los usuarios de riesgo, ver sus actividades anómalas y profundizar en los datos subyacentes del registro y del flujo que se utilizan en la puntuación de riesgo de un usuario.

Vea cómo funciona QRadar User Behavior Analytics
Conecte a cada usuario con el nivel de acceso adecuado y de forma segura

Conceda derechos de acceso, proporcione un inicio de sesión único desde cualquier dispositivo, mejore la seguridad con la autenticación multifactor, permita la gestión del ciclo de vida del usuario, proteja las cuentas con privilegios y mucho más.

Examine las soluciones de gestión acceso e identidad (IAM) de IBM
Centralice la visibilidad de las amenazas internas

Obtenga información procesable sobre los datos de seguridad compartimentados, identifique con rapidez las principales amenazas y reduzca el volumen total de alertas. Con más visibilidad en los entornos locales y en el cloud, su equipo puede aplicar la IA para acelerar las investigaciones y automatizar la respuesta y la corrección.

Optimice su SIEM con IBM
Recursos X-Force Threat Intelligence Index

Conozca los riesgos de un ciberataque gracias a una visión global del panorama de las amenazas.

¿Qué es la gestión de amenazas?

Un análisis de la gestión de amenazas y qué herramientas y técnicas ayudan a gestionar las ciberamenazas.

Soporte de la comunidad de amenazas internas

Participe con expertos de IBM, comparta consejos y mejores prácticas con sus compañeros y manténgase actualizado sobre las últimas mejoras de los productos.

Informe sobre el coste de las amenazas internas

Según el informe, se estima que en 2021 se produjeron daños por valor de 6000 millones de dólares, lo que supone un coste superior al de todos los daños causados por catástrofes naturales a nivel mundial en un solo año. ¿Cómo le afectarán las amenazas internas?

La oficina del CIO de IBM

Descubra por qué la oficina del CIO de IBM recurrió a IBM® Security Verify para la autenticación digital de próxima generación de toda su plantilla y sus clientes.